お問い合わせ
SECURITY NOTE — 166

GWS DLPルールをPolicy APIで管理する設計判断

PUBLISHED2026.06.17
READ10 分
CATEGORYSECURITY

2026年6月8日、Google Workspace Policy API に DLP(Data Loss Prevention: データ損失防止)ルールをプログラムで作成・更新・削除できる mutate エンドポイントが追加され、一般提供(GA)が開始されました。この記事では、管理コンソールでの手動運用を続けるか API による自動管理に移行するかを情シス視点で判断するための設計フレームを整理します。

この記事を読んだほうが良い人

  • Google Workspace で DLP ルールを複数 OU・複数カテゴリで運用しており、管理コンソールでの手動設定が煩雑になってきた情シス担当者
  • DLP ルールの変更を Git 等でバージョン管理し、コードレビューと CI/CD(継続的インテグレーション/デプロイ)を組み合わせたコード管理体制を整えたいと考えている方
  • ルール数が増えてきて一括設定や自動デプロイの手段を探している方
  • DLP ゼロから始める記事ではなく「すでに運用中の DLP をどう効率化するか」という観点に興味がある方

Workspace Policy API の DLP mutate エンドポイントで何が変わるか

Google Workspace Policy API は、管理者設定をプログラムで操作するための API です。これまで DLP に対しては Get(取得)・List(一覧)エンドポイントのみが提供されており、ルールの読み取りはできても、作成・変更・削除はすべて管理コンソールの画面操作が必要でした。

2026年6月8日のアップデート(Google Workspace Updates Blog より)で Create・Update・Delete の 3 つの mutate エンドポイントが追加されました。これにより、DLP ルールとディテクター(検出設定)のライフサイクル全体を API で完結させることが可能になっています。公式ブログでは「初期作成から実時間の有効化・無効化まで、DLP ポリシーのライフサイクル全体を自動化できる」と説明されています。

対象サービスは Drive、Gmail、Chat、Chrome の 4 サービスです。また、Google Workspace 管理者向けオープンソース CLI ツールである GAM(Google Apps Manager)も本 API アップデートに対応済みであることが公式ブログで言及されています。GAM は Python や GAS のスクリプトを書かずに API 相当の操作をコマンドラインから実行できるため、IT 部門内にスクリプト経験者が少ない組織でも選択肢になります。

利用要件(Google Workspace Updates Blog、2026年6月8日時点)

  • 権限: スーパー管理者(Super Admin)権限を持つアカウントが必要
  • 対象プラン: すべての Google Workspace カスタマーおよび Workspace Individual(エディション制限なし)
  • リリース設定: 両環境で利用可能(2026年6月8日より)

DLP ルール管理が煩雑になる 3 つのパターン

DLP ルールが「管理しきれない」状態になる原因は、多くの場合、次の 3 パターンのどれかです。

1. ルール数の単純増加

新しい個人情報の種類への対応、部門ごとの例外承認、法改正対応など、追加されたルールが削除されずに蓄積します。気づけば管理コンソール上に 30 本以上のルールが並び、どれが有効でどれが形骸化しているか追跡が難しくなります。

2. OU 設定のバリエーション増加

100名規模の組織でも、部門(営業 / 開発 / 総務)ごとに異なる DLP 設定が必要になることがあります。OU(Organizational Unit: 組織単位)ごとに「開発部門には機密ソースコード向けのルールを追加」「営業部門には顧客データ送信禁止ルールを強化」といった差分が増えると、コンソール上での管理ミスが生じやすくなります。

3. 変更管理の属人化

DLP ルールを変更できるのはスーパー管理者のみであるため、担当者が変わるたびに「どのルールがなぜある状態になっているか」の引き継ぎが必要です。変更履歴がコンソールの監査ログにしか残らない運用では、変更の意図や承認経緯を後から追うことが難しくなります。

これら 3 パターンへの対応として、今回の GA 発表で現実的になったのが「DLP ルール定義をコードとして Git 管理し、API で適用する」アプローチです。

Google Workspace Policy API DLP 自動管理の使い分け:コンソールか API か

今回の GA 発表によって「API で DLP を管理する」選択肢が現実的になりましたが、すべての組織に API 移行が必要なわけではありません。以下の観点で現状を当てはめると判断しやすくなります。

コンソール管理で十分なケース

次の条件がすべて当てはまる場合、管理コンソールでの手動運用を続けることが合理的な判断です。

  • DLP ルール数が少ない(目安:10 本未満)
  • 変更頻度が低く、ルール内容も安定している(月に数回以下)
  • 変更のレビュープロセスが非公式で、変更履歴の追跡が不要
  • IT 部門内に API やスクリプトを扱えるメンバーがいない

この条件下では、既存の Get/List エンドポイントを使ってルール一覧を定期的に取得し、スプレッドシートに出力して管理状況を「見える化」するだけでも十分な運用改善になります。API に全面移行しなくても、読み取りだけの活用から始める選択肢があります。

API 管理を検討する価値があるケース

以下のいずれかに当てはまれば、Policy API を使った DLP ルールのコード管理を検討してください。

  • ルール数が 10 本以上に増えてきた: ルール数が増えると、コンソール上での管理ミスや設定漏れのリスクが高まります。ルール定義をコードとして Git 管理することで変更の追跡が容易になります。特に 30 本を超えると、コンソール操作での全件把握は現実的ではなくなります
  • 複数の OU で異なるルールセットを運用している: 部門ごとに異なる DLP 設定が必要な場合、手動で複数 OU を個別に設定する作業は煩雑です。API による一括設定で管理コストを下げられます
  • DLP ルールの変更に承認フローが必要: Git のプルリクエストを通じたレビューと CI/CD を組み合わせることで、変更管理のガバナンスを整備できます。「誰が何をいつ承認したか」がコード履歴として残るため、コンプライアンス上のメリットもあります
  • 定期的な自動更新が発生する: 特定のキーワードリストを週次で更新するなど、繰り返しの変更が必要な場合は自動化の効果が大きくなります

「まず List で棚卸し、次に Create で段階移行」という進め方

既存ルールがコンソール上でのみ管理されている組織では、いきなり API での全面移行は現実的ではありません。段階的に進めることがリスクを抑える鍵です。

第1フェーズ:現状把握(List エンドポイント活用)

まず List エンドポイントで既存ルールを一覧取得し、ルール名・適用サービス・対象 OU・有効/無効の状態を書き出します。この段階では何も変更しないため、リスクはゼロです。取得したデータを確認することで、形骸化したルールや重複ルールが見つかるケースも多くあります。

第2フェーズ:新規ルールの API 作成から始める

既存ルールはコンソール管理を継続しながら、新規に追加が必要なルールだけを API 経由で作成します。この並行運用期間中に「API でルールを管理する」ワークフローを小規模で試行できます。

第3フェーズ:既存ルールの移行判断

十分に運用に慣れた段階で、既存ルールのコード化(Get で取得してバックアップ → Delete + Create で置き換え)を進めます。この時点で初めて「コンソールと API の二重管理」から脱却します。急がず、ルール単位で移行タイミングを決めるのが現実的です。

GAM を使った API 活用という選択肢

スクリプト開発の経験が少ない情シス部門にとって、Python や GAS で API クライアントを一から組むのはハードルが高く感じられます。その場合、GAM(Google Apps Manager)が実用的な入り口になります。

GAM は Google Workspace の管理操作をコマンドラインから実行できるオープンソース CLI ツールです。今回の Policy API アップデートに合わせて GAM も DLP mutate エンドポイントに対応しており(公式ブログで言及)、コードを書かずにコマンド一行でルールの作成・更新・削除を実行できます。

GAM コマンドの実行結果はターミナルに出力されるため、シェルスクリプトでラップして定期実行やバッチ処理に組み込むことも可能です。Git でシェルスクリプトを管理する運用は、Python スクリプトより導入障壁が低い組織も多くあります。

ただし、GAM も内部的には Policy API を呼んでいるため、スーパー管理者権限は必要です。また、GAM の実行環境(ローカル PC・サーバー・Cloud Run 等)のセキュリティ管理は組織側の責任範囲となる点は認識しておく必要があります。

DLP エンドポイントでできること・できないこと

できること

  • DLP ルール・ディテクターの新規作成(Create)
  • 既存 DLP ルール・ディテクターの内容更新(Update)
  • 不要になった DLP ルール・ディテクターの削除(Delete)
  • Drive、Gmail、Chat、Chrome を対象にしたルール管理
  • ルールの有効化・無効化の API 制御
  • Get/List との組み合わせで「取得→差分検出→更新」の自動化ループ構成
  • GAM(Google Apps Manager)経由でのコマンドライン操作

できないこと・注意点

  • 管理コンソールで現在サポートされていない機能の操作(API は UI との同等性を前提とした設計)
  • スーパー管理者権限を持たないアカウントからの利用
  • コンソール UI を超える設定の自動生成や高度な操作

最後の点は特に注意が必要です。「API を使えば管理コンソールより複雑な設定ができる」という期待は誤りで、API で操作できる範囲はコンソールでサポートされている機能に限定されています。API は「同じことを自動化する手段」であって、「コンソールでできないことを実現する手段」ではありません。

また、DLP ルールを API で一括 Delete した場合の影響は即座かつ組織全体に及びます。誤削除に備えたロールバック手順(削除前のバックアップ取得)を運用フローに組み込んでおくことが重要です。

API 管理移行前のチェックリスト

API 管理に移行する前に次の観点を整理しておくと、後の手戻りを防げます。

現状把握

  • 現在の DLP ルール総数と、ルールごとの適用対象 OU・サービスを一覧化したか
  • ルールの「管理責任者」が明確になっているか(属人化している場合は先に整理する)
  • 重複ルールや不要ルールの整理が完了しているか
  • 直近のコンプライアンス監査や法規対応の時期と重ならないか確認したか(移行作業中はルール変更のトレーサビリティが下がるため)

権限・アカウント

  • API 実行に使うスーパー管理者アカウントが確保されているか
  • 同アカウントを複数用途で使い回すリスク(監査ログの可視性低下)を評価したか
  • API 実行環境(ローカル・CI/CD・GAM 実行環境)のアクセス制御が適切か

運用設計

  • DLP ルール定義のソースをどこで管理するか(Git リポジトリ等)を決めているか
  • 変更のレビュープロセス(誰が何を承認するか)を設計しているか
  • 誤設定が発生した場合のロールバック手順(削除前の Get によるバックアップ)を確認しているか
  • コンソール直接変更を禁止するルールを設けるか、並行運用を許容するかを決めているか

デプロイ基盤

  • API 呼び出しをどのスクリプト・ツールで実装するか決めているか(GAS・Python・GAM など)
  • テスト用 OU でのパイロット実行を計画しているか
  • API 実行ログをどこに保存し、いつ確認するかを決めているか

これらの確認ができていない状態で API 管理に移行しても、自動化の恩恵よりも運用混乱のリスクのほうが大きくなります。

まとめ:DLP ルールのコード管理、始めどきの判断基準

2026年6月の GA 発表で、Google Workspace DLP ルールのコード管理という選択肢は「将来的な話」から「今すぐ動かせる話」になりました。

とはいえ、API への移行を急ぐ必要はありません。「すでに DLP を運用していて管理コストが気になり始めた」という段階にある組織がこのタイミングでやるべきことは、まず現状のルール棚卸しと権限の確認です。DLP ルールの棚卸し自体は List エンドポイントでも管理コンソールの UI でもできます。棚卸しを通じてルール数や複雑さが想定より多いと分かった段階で、API 管理への移行を本格的に検討する流れが現実的です。

API かコンソールかという選択より先に問うべきことがあります。現在の DLP ルールが、実際の業務リスクに合った設計になっているかどうかです。DLP ポリシーの設計品質は「何を検出するか」という検出ルールの精度と「どの OU に何を適用するか」という適用設計の両輪で決まります。API による管理はその後の運用効率化の手段であって、設計が曖昧なまま自動化しても精度は上がりません。

今回の発表を、現在の DLP ルールが実態に合っているかを見直す契機として捉えてください。棚卸し → 整理 → 設計の確認を経た後に、「この規模なら API 管理への移行は必要か」という問いに初めて答えられます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。